**Примітка.** Для виходу з редактору використовується комбінація клавіш «Ctrl + X». Якщо були внесені змін, то потрібно натиснути клавішу «Y» для їх збереження або «N» для відміни.
--- #### 7.1.3. Додавання GPG ключа для репозиторію Для встановлення програмного забезпечення з репозиторію системи «Трембіта» потрібно завантажити та додати в систему GPG ключ даного репозиторію. Для цього Адміністратору локальних компонентів (системному адміністратору) необхідно виконати наступну команду: ``` sudo wget -O - https://project-repo.trembita.gov.ua:8081//public-keys/public.key.txt | sudo apt-key add - ``` Якщо команда виконана успішно, буде виведено повідомлення «ОК»  --- #### 7.1.4. Налаштування локалі Якщо локалі «en\_US.utf8» немає в системі, Адміністратору локальних компонентів (системному адміністратору) необхідно згенерувати її за допомогою послідовного виконання наступних команд: ``` sudo locale-gen en_US.UTF-8 sudo dpkg-reconfigure locales ``` У наступному діалоговому вікні необхідно знайти запис «en\_US.UTF-8 UTF-8», встановити відповідну позначку шляхом натискання кнопки \[SPACE\] та натиснути на кнопку \[ENTER\]: [](https://docs.trembita.gov.ua/uploads/images/gallery/2024-04/sav3Kf9V7aKGVldW-screenshot-2024-04-10-231942.png) У діалоговому вікні «Default locale for a system environment» потрібно обрати «en\_US.UTF-8» та перезайти в обліковий запис користувача (наприклад, закривши поточну та ініціювавши нову сесію SSH). В операційній системі шлюзу безпечного обміну має бути встановлена локаль «en\_US.UTF-8». Для встановлення даної локалі необхідно виконати наступну команду: echo 'LC\_ALL=en\_US.UTF-8' | sudo tee -a /etc/environment Та перезавантажити змінні оточення за допомогою виконання наступної команди: . /etc/environment**Важливо!** Варто звернути увагу на наявність пробілу після першої крапки у команді вище.
--- #### 7.1.5. Встановлення пакету uxp-securityserver-ua Для встановлення програмного забезпечення UXP Security Server для шлюзу безпечного обміну використовується команда apt. Перед встановленням потрібно оновити список доступних пакетів з репозиторію системи «Трембіта». Для встановлення зазначеного програмного забезпечення Адміністратору локальних компонентів (системному адміністратору) необхідно послідовно виконати наступні команди: ``` sudo apt update sudo apt install -y uxp-securityserver-ua libc6=2.27-3ubuntu1.6 ``` Під час встановлення необхідно ввести ім’я облікового запису (логін) Адміністратора вебсервісів, що буде адмініструвати функціонал шлюзу безпечного обміну - наприклад, *uxpadmin*: [](https://docs.trembita.gov.ua/uploads/images/gallery/2024-04/CJbsMhvqXTH8OviS-viber-image-2024-04-30-12-22-48-790.png)Цей користувач зможе авторизуватись в вебінтерфейсі адміністрування шлюзу безпечного обміну. Для перевірки стану виконання встановлених компонентів ПЗ UXP Security Server після інсталяції ШБО необхідно виконати наступну команду: ``` sudo systemctl list-units | grep "uxp" ``` Список сервісів UXP, які мають бути активними (active/running): ``` uxp-confclient.service uxp-jetty.service uxp-monitor.service uxp-proxy.service uxp-signer.service uxp-uaic.service (якщо встановлений модуль контролю цілісності) ``` --- #### 7.1.6. Додавання додаткового облікового запису Адміністратора вебсервісів**Важливо!** В разі, якщо виникає необхідність роботи з вебінтерфейсом ШБО у декількох співробітників Учасника системи "Трембіта", кожен з них обов'язково повинен мати власний обліковий запис!
Шлюз безпечного обміну використовує локальних користувачів і групи операційної системи для контролю доступу до вебінтерфейсу адміністрування шлюзу безпечного обміну. Обліковий запис, що використовується для входу в вебінтерфейс адміністрування шлюзу безпечного обміну – це обліковий запис Адміністратора вебсервісів (за замовчуванням з логіном uxpadmin). Для створення додаткового Адміністратора вебсервісів, Адміністратору локальних компонентів (системному адміністраторові) необхідно: 1. Послідовно виконати наступні команди: ``` sudo useradd -M -N**Важливо!** Цей модуль є обов’язковим для встановлення на шлюзі безпечного обміну промислового середовища!
Встановлення модуля контролю цілісності необхідно виконати наступну команду: ``` sudo apt install uxp-addon-securityserver-uaic nginx-light=1.14.0-0ubuntu1.7 libpam0g=1.1.8-3.6ubuntu2.18.04.2 libnginx-mod-http-echo=1.14.0-0ubuntu1.7 nginx-common=1.14.0-0ubuntu1.7 bash=4.4.18-2ubuntu1.2 passwd=1:4.5-1ubuntu2 ``` Під час встановлення необхідно налаштувати параметри надсилання повідомлень електронною поштою (за допомогою утиліти Postfix). Якщо даної потреби немає, необхідно обрати варіант «Local only» та підтвердити запропоновані варіанти за замовченням щодо імені хоста та електронної пошти: [](https://docs.trembita.gov.ua/uploads/images/gallery/2024-05/ZQao2fyxkJmyq0Z2-picture3-1.png)**Примітка.** Після встановлення модуля контролю цілісності, програма встановлення початково призупиняє перевірку цілісності на 30 хвилин, щоб запобігти запуску перевірки цілісності та призупиненню сервісів під час процесу конфігурації шлюзу безпечного обміну. Якщо конфігурування триває довше, необхідно додатково призупинити перевірку цілісності у вебінтерфейсі шлюзу безпечного обміну, натиснувши на кнопку «Перевірка цілісності призупинена на ## хв», щоб отримати більше часу.
[](https://docs.trembita.gov.ua/uploads/images/gallery/2024-05/zBat3KkK7hZM2qwT-picture3-2.png) [](https://docs.trembita.gov.ua/uploads/images/gallery/2024-05/tpOabK0E6gb2gu5e-picture3-3.png) --- #### 7.1.9. Надання доступу до вебінтерфейсу шлюзу безпечного обміну з робочої станції адміністратора**Важливо!** В промисловому середовищі користувачі з ролями «Адміністратор вебсервісів» та «Відповідальний за управління ключами» повинні підключатися до вебінтерфейсу ШБО виключно з робочих станцій адміністратора!
**Примітка.** Якщо Суб’єкт електронної взаємодії та Учасник є різними юридичними особами, то Суб’єкт електронної взаємодії аналогічно повинен мати власну робочу станцію адміністратора.
Керування доступом до вебінтерфейсу ШБО здійснюється за допомогою налаштувань NGINX. Перелік IP-адрес, з яких можна підключитись до ШБО знаходиться у файлі дозволених хостів.**Важливо!** Даний файл повинен містити виключно адреси довірених робочих станцій адміністратора. Адміністратор локальних компонентів (системний адміністратор) повинен завжди тримати перелік дозволених адрес у актуальному стані.
Для того, щоб додати ІР-адресу робочої станції адміністратора до файлу дозволених хостів необхідно: 1. Відкрити на редагування файл /etc/uxp/uaic/allowed\_hosts.conf у текстовому редакторі nano за допомогою виконання наступної команди: ``` sudo nano /etc/uxp/uaic/allowed_hosts.conf ``` 2. Додати до файлу наступний рядок: ``` allow